何が起きたか
CISA は 2026年6月9日に CVE-2026-42271 を既知の悪用脆弱性カタログに追加し、ワイルド中での積極的な悪用を確認しました。この欠陥は LiteLLM の2つの MCP サーバー プレビュー エンドポイントに存在し、完全なサーバー構成(command、args、env フィールドを含む)を受け入れ、検証やサンドボックス化なしで指定されたコマンドをサブプロセスとして起動します。CVE-2026-48710(LiteLLM、vLLM、および多くの FastAPI ベースの AI ツールを支えている ASGI フレームワーク Starlette のホストヘッダー解析フロー)と連鎖させると、認証要件は完全にバイパスされ、認証なしの RCE がもたらされます。Horizon3.ai が完全に動作する概念実証を公開しました。CISA はこのパターンを「AI ゲートウェイ インフラストラクチャへの継続的な標的型攻撃」と特徴づけました。
なぜ重要か
LiteLLM はエンタープライズ AI デプロイメントの中央キー管理およびルーティング ボトルネックです。侵害により、設定されたすべてのプロバイダー認証情報(OpenAI、Anthropic、Azure、AWS Bedrock など)、すべてのプロンプトおよび応答データ(PII、ソースコード、貼り付けられたシークレットを含む)が露出し、さらに重要なことに、ダウンストリーム AI エージェントへの転送中にモデル応答の静かな改ざんが可能になります。ゲートウェイレベルの侵害により、攻撃者はそれを通じてルーティングされるすべてのエージェントの操舵機構になります。CVE-2026-48710 は vLLM および Starlette ≤1.0.0 でパスベース認証を使用している他の ASGI アプリにも影響し、影響範囲を大幅に拡大します。
攻撃経路
攻撃者は悪意のある stdio MCP サーバー設定(command/args/env フィールド)を含む /mcp-rest/test/connection または /mcp-rest/test/tools/list への作成済み POST を送信します。LiteLLM は、サンドボックスなしでホスト上で指定されたコマンドをサブプロセスとして起動します。CVE-2026-48710(Starlette 「BadHost」ホストヘッダー バイパス)と連鎖させると、認証は完全にスキップされます — ネットワークからの認証なし RCE。Horizon3.ai がチェーン全体を実証する動作可能な PoC を公開しました。
影響を受けるシステム
BerriAI LiteLLM 1.74.2 – 1.83.6; Starlette 0.8.3 – 1.0.0
緩和策
LiteLLM を ≥1.83.7 にアップグレードし、Starlette を ≥1.0.1 にアップグレードします。以前に露出した可能性があるすべてのプロバイダーキー、マスターキー、およびデータベース認証情報をローテーションします。MCP テスト エンドポイントを PROXY_ADMIN ロールに制限します。CISA KEV 連邦期限は 2026年6月22日でした。